工業(yè)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析及對(duì)策研究

系統(tǒng)漏洞頻發(fā)導(dǎo)致安全形勢(shì)進(jìn)一步惡化近年來，工業(yè)物聯(lián)網(wǎng)領(lǐng)域在信息安全方面危機(jī)四伏，黑客通過系統(tǒng)漏洞對(duì)工業(yè)物聯(lián)網(wǎng)應(yīng)用進(jìn)行攻擊，達(dá)到系統(tǒng)破壞或者數(shù)據(jù)竊取的目的。雖然工業(yè)物聯(lián)網(wǎng)概念較新，但是其依托的卻是現(xiàn)代成熟的工業(yè)自動(dòng)化技術(shù)與通信技術(shù)，這就導(dǎo)致傳統(tǒng)黑客攻擊方法對(duì)工業(yè)物聯(lián)網(wǎng)系統(tǒng)是適用的。另外，由于工業(yè)物聯(lián)網(wǎng)系統(tǒng)中包含大量有價(jià)值數(shù)據(jù)，也吸引著各方去攻擊挑戰(zhàn)。截至2015年12月，中國國家信息安全漏洞共享平臺(tái)、美國CVE(公共漏洞庫)和ICS-CERT（工控系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組）共披露工控系統(tǒng)相關(guān)漏洞達(dá)949個(gè)，涉及國內(nèi)外廠商120個(gè)，漏洞數(shù)量較2014年增長(zhǎng)38%。根據(jù)ICS-CERT統(tǒng)計(jì)，工業(yè)領(lǐng)域網(wǎng)絡(luò)安全事件呈快速爆發(fā)趨勢(shì)，2010年僅為39件，而2013年竟高達(dá)256件。這些網(wǎng)絡(luò)安全事件多分布在能源（151件，59%）、關(guān)鍵制造業(yè)（52件，20%）、市政交通（15件，10%）等涉及國計(jì)民生的關(guān)鍵基礎(chǔ)行業(yè)。能源與關(guān)鍵制造業(yè)網(wǎng)絡(luò)安全事件占總數(shù)的80%，這與工業(yè)能源領(lǐng)域高度的自動(dòng)化與信息化密切相關(guān)。如2012年8月，沙特Aramco石油公司生產(chǎn)管理平臺(tái)被曝出2個(gè)遠(yuǎn)程登錄漏洞，黑客利用該漏洞使用“Shamoon”蠕蟲進(jìn)行攻擊，造成該石油公司3萬多臺(tái)電腦受到影響；2016年1月，烏克蘭電網(wǎng)遭黑客攻擊，導(dǎo)致3個(gè)地區(qū)數(shù)百家用戶供電遭到中斷。據(jù)調(diào)查，此次攻擊是利用應(yīng)用軟件的0day漏洞嵌入BlackEnergy木馬實(shí)現(xiàn)遠(yuǎn)程入侵，再進(jìn)行橫向傳播，最終達(dá)到破壞目的。可以預(yù)見，隨著工業(yè)物聯(lián)網(wǎng)的快速發(fā)展，其面臨的安全形勢(shì)也將更加嚴(yán)峻。2系統(tǒng)節(jié)點(diǎn)互聯(lián)導(dǎo)致安全問題進(jìn)一步擴(kuò)大和以往工業(yè)自動(dòng)化、信息化系統(tǒng)采用局域網(wǎng)不同，工業(yè)物聯(lián)網(wǎng)從一開始定義便是一個(gè)高度互聯(lián)互通的網(wǎng)絡(luò)。一個(gè)完整的工業(yè)物聯(lián)網(wǎng)系統(tǒng)往往擁有數(shù)萬個(gè)“數(shù)據(jù)節(jié)點(diǎn)”，一旦某個(gè)節(jié)點(diǎn)被攻破滲透，將對(duì)整個(gè)系統(tǒng)造成巨大影響且破壞將通過節(jié)點(diǎn)網(wǎng)絡(luò)高速擴(kuò)散。2013年BlackHat大會(huì)上，有黑客展示了通過入侵某工業(yè)生產(chǎn)線網(wǎng)絡(luò)中某一數(shù)據(jù)節(jié)點(diǎn)逐步奪取整個(gè)系統(tǒng)控制決策權(quán)，最終更改生產(chǎn)線生產(chǎn)流程決策的過程。包含物料采購子系統(tǒng)、生產(chǎn)子系統(tǒng)、銷售數(shù)據(jù)統(tǒng)計(jì)系統(tǒng)在內(nèi)的整個(gè)系統(tǒng)全部淪陷，而整個(gè)入侵過程只耗時(shí)不到2分鐘。2014年，俄羅斯Rosneft石油公司位于遠(yuǎn)東地區(qū)某石油勘探節(jié)點(diǎn)被黑客攻擊，黑客通過該節(jié)點(diǎn)溯源獲得了該地區(qū)石油勘探網(wǎng)絡(luò)控制權(quán)，不但竊取了該地區(qū)石油勘探數(shù)據(jù)，還通過弱口令和身份欺騙登入俄羅斯能源部數(shù)據(jù)庫大肆瀏覽一番。這兩個(gè)案例都充分說明，隨著工業(yè)物聯(lián)網(wǎng)的發(fā)展，工業(yè)信息安全問題已不再局限于傳統(tǒng)工控系統(tǒng)所涉及的具體生產(chǎn)應(yīng)用范圍，極有可能擴(kuò)大到整個(gè)工業(yè)物聯(lián)網(wǎng)系統(tǒng)的每個(gè)節(jié)點(diǎn)。3新技術(shù)新應(yīng)用集成導(dǎo)致網(wǎng)絡(luò)安全問題突出工業(yè)物聯(lián)網(wǎng)系統(tǒng)是一個(gè)開放的不斷兼容的系統(tǒng)。隨著業(yè)務(wù)不斷拓展，大量新技術(shù)與新應(yīng)用被集成進(jìn)工業(yè)物聯(lián)網(wǎng)系統(tǒng)。受客觀條件限制，這些新技術(shù)、新應(yīng)用本身的安全防護(hù)強(qiáng)度并沒有經(jīng)過可靠性驗(yàn)證，極易成為整個(gè)系統(tǒng)的“安全短板”。2013年9月，國內(nèi)某大型金融企業(yè)新上線一套內(nèi)部運(yùn)營管理系統(tǒng)，該系統(tǒng)某些功能創(chuàng)新性實(shí)現(xiàn)了數(shù)據(jù)分散性存儲(chǔ)與控制，并將企業(yè)內(nèi)部各部門數(shù)據(jù)進(jìn)行了互聯(lián)共享。企業(yè)隨后邀請(qǐng)國內(nèi)某知名安全廠商對(duì)該系統(tǒng)進(jìn)行綜合安全評(píng)估，安全專家竟然從門禁系統(tǒng)入手，一步一步破解獲得系統(tǒng)權(quán)限，最終成功入侵核心數(shù)據(jù)庫。安全專家表示，整個(gè)系統(tǒng)的安全性具有明顯的“短板效應(yīng)”，雖然系統(tǒng)多個(gè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)節(jié)點(diǎn)都進(jìn)行了多重軟硬件加密，但是由于某些非核心業(yè)務(wù)的新功能（如門禁）本身存在漏洞導(dǎo)致整個(gè)系統(tǒng)的安全功虧一簣。案例中的這種情況在當(dāng)前工業(yè)物聯(lián)網(wǎng)發(fā)展中尤為常見，因?yàn)槠髽I(yè)的工業(yè)物聯(lián)網(wǎng)的建設(shè)是伴隨著企業(yè)發(fā)展而不斷進(jìn)行的，不斷有新功能新技術(shù)新設(shè)備加入網(wǎng)絡(luò)，如果這些功能設(shè)備技術(shù)未經(jīng)過嚴(yán)格的安全評(píng)估，極有可能導(dǎo)致整個(gè)系統(tǒng)暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之中。4國家級(jí)的網(wǎng)絡(luò)攻擊力量快速增加由于工業(yè)領(lǐng)域關(guān)系一國經(jīng)濟(jì)命脈，一旦遭受攻擊將造成重大損失。目前西方國家都積極建立“網(wǎng)絡(luò)安全部隊(duì)”，為本國國家戰(zhàn)略利益服務(wù)。美國是最早建立“網(wǎng)絡(luò)安全部隊(duì)”并進(jìn)行網(wǎng)絡(luò)攻擊的國家。據(jù)有關(guān)方面估計(jì)，美國目前網(wǎng)絡(luò)部隊(duì)人數(shù)將達(dá)到6000人，其它具有政府背景的黑客更達(dá)到上萬人。日韓兩國近年來在網(wǎng)絡(luò)部隊(duì)上投入加大。日本防衛(wèi)省于2011年建立了一支5000余人的“網(wǎng)絡(luò)空間防衛(wèi)隊(duì)”專門從事網(wǎng)絡(luò)攻防；韓國于2010年建立網(wǎng)絡(luò)司令部與網(wǎng)絡(luò)攻擊部隊(duì)，招募了一大批具備實(shí)戰(zhàn)經(jīng)驗(yàn)的民間黑客，其網(wǎng)絡(luò)戰(zhàn)科目也多次出現(xiàn)在“關(guān)鍵決心”、“乙支自由衛(wèi)士”等軍演中。總之，隨著工業(yè)物聯(lián)網(wǎng)面臨的信息安全形勢(shì)越來越嚴(yán)峻，有必要對(duì)工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患進(jìn)行梳理，研究提升工業(yè)領(lǐng)域信息安全保障能力的方法。工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患分析傳統(tǒng)的傳感器技術(shù)、數(shù)據(jù)采集技術(shù)、數(shù)據(jù)傳輸技術(shù)、數(shù)據(jù)處理技術(shù)構(gòu)成了工業(yè)物聯(lián)網(wǎng)底層核心技術(shù)。當(dāng)前這些傳統(tǒng)技術(shù)仍存在許多亟待解決的問題和需要彌補(bǔ)的漏洞。但隨著工業(yè)物聯(lián)網(wǎng)“萬物互聯(lián)”的實(shí)現(xiàn)，傳統(tǒng)技術(shù)的安全問題非但不會(huì)減少反而隨著互聯(lián)網(wǎng)應(yīng)用的結(jié)合進(jìn)一步放大并產(chǎn)生一些新的問題。工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患可以分為三大類，第一類來源于工業(yè)物聯(lián)網(wǎng)自身結(jié)構(gòu)特點(diǎn)，第二類是源自于與互聯(lián)網(wǎng)結(jié)合而帶來的外部網(wǎng)絡(luò)風(fēng)險(xiǎn)，第三類則是基于社會(huì)工程學(xué)的非技術(shù)類滲透。1內(nèi)部結(jié)構(gòu)特點(diǎn)導(dǎo)致的安全隱患1.全面感知層的信息安全隱患全面感知層是整個(gè)工業(yè)物聯(lián)網(wǎng)的最底層，也是基礎(chǔ)層。該層由大量工業(yè)傳感器節(jié)點(diǎn)、RFID節(jié)點(diǎn)、智能終端組成。其安全隱患主要有以下兩點(diǎn)：物理安全隱患。全面感知層的設(shè)備節(jié)點(diǎn)目前正朝著微型化發(fā)展，硬件結(jié)構(gòu)簡(jiǎn)單，綜合防護(hù)能力不足。同時(shí)這些節(jié)點(diǎn)一般又部署在工作環(huán)境極其惡劣的生產(chǎn)一線，處于監(jiān)控盲區(qū)。一旦這些感知設(shè)備被非法操作就可能引發(fā)連鎖反應(yīng)對(duì)整個(gè)工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成破壞。軟件安全隱患。全面感知層的設(shè)備節(jié)點(diǎn)功能較為單一，MCU（中央控制器）處理能力較弱，非授權(quán)用戶極易通過暴力字典攻擊或堆棧溢出方式控制終端設(shè)備，偽造認(rèn)證身份，潛入工業(yè)物聯(lián)網(wǎng)內(nèi)部。2.互聯(lián)傳輸層的信息安全隱患工業(yè)物聯(lián)網(wǎng)由于是多系統(tǒng)、多平臺(tái)、多設(shè)備的整合，這就決定了其必須協(xié)調(diào)使用多種不同的數(shù)據(jù)傳輸方式和傳輸協(xié)議并開放相關(guān)端口。其安全隱患主要體現(xiàn)在以下兩點(diǎn)：感知層節(jié)點(diǎn)數(shù)據(jù)的調(diào)度與認(rèn)證問題。工業(yè)物聯(lián)網(wǎng)體系要求感知層具有大量數(shù)據(jù)采集節(jié)點(diǎn)，這些節(jié)點(diǎn)以集群方式組成無線傳感器網(wǎng)絡(luò)，如果系統(tǒng)調(diào)度產(chǎn)生問題，就會(huì)造成數(shù)據(jù)擁塞、丟失、拒絕服務(wù)；同時(shí)傳遞層每個(gè)終端節(jié)點(diǎn)的身份認(rèn)證也會(huì)消耗大量網(wǎng)絡(luò)資源，降低傳輸效率。底層數(shù)據(jù)的加密傳輸與通信問題。由于傳感器數(shù)據(jù)多種多樣，很多無線傳感器接口數(shù)據(jù)采用自定義格式，數(shù)據(jù)加密也僅采用逐條加密方式；為了保證組件之間兼容性，網(wǎng)絡(luò)端口開放過多。這些因素造成了數(shù)據(jù)在傳輸過程中易被竊取。3.智能處理層信息安全隱患智能處理層主要由信息物理系統(tǒng)（CPS）整合多種運(yùn)算存儲(chǔ)平臺(tái)對(duì)底層原始數(shù)據(jù)進(jìn)行深入分析處理，然后根據(jù)上層應(yīng)用需要實(shí)現(xiàn)同一感知數(shù)據(jù)在不同工業(yè)應(yīng)用系統(tǒng)間的數(shù)據(jù)共享，同時(shí)還能接受上層指令，處理協(xié)調(diào)各子系統(tǒng)和感知設(shè)備運(yùn)行。其安全風(fēng)險(xiǎn)主要體現(xiàn)在以下兩點(diǎn)：非法人為干預(yù)導(dǎo)致數(shù)據(jù)處理失控。由于智能處理層在整個(gè)工業(yè)物聯(lián)網(wǎng)層次結(jié)構(gòu)中屬于核心，其被人為惡意干預(yù)的概率大大增加，一旦硬件被入侵，將對(duì)其上層應(yīng)用和下層感知產(chǎn)生重大影響。病毒等惡意軟件攻擊導(dǎo)致系統(tǒng)穩(wěn)定性降低。智能平臺(tái)由于需要處理整個(gè)工業(yè)物聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)量、計(jì)算量極大，其對(duì)拒絕服務(wù)攻擊和病毒代碼的防護(hù)能力就顯得捉襟見肘。一旦被攻破，就會(huì)導(dǎo)致系統(tǒng)處于不可控狀態(tài)。4.綜合應(yīng)用層信息安全隱患綜合應(yīng)用層直接面向管理人員或者客戶，為不同應(yīng)用需求提供多種定制化應(yīng)用程序。其安全隱患主要體現(xiàn)在以下幾點(diǎn)：綜合應(yīng)用層的多樣性與不確定性導(dǎo)致系統(tǒng)漏洞頻發(fā)。由于該層是根據(jù)不同應(yīng)用需求定制而成，各應(yīng)用程序之間數(shù)據(jù)接口與標(biāo)準(zhǔn)不一，導(dǎo)致系統(tǒng)出現(xiàn)安全漏洞。數(shù)據(jù)共享與訪問控制沖突導(dǎo)致的數(shù)據(jù)及隱私泄露。整個(gè)工業(yè)物聯(lián)網(wǎng)系統(tǒng)上層應(yīng)用是基于同一套底層傳感數(shù)據(jù)。不同應(yīng)用程序之間對(duì)數(shù)據(jù)的訪問容易造成數(shù)據(jù)泄露。此外由于工業(yè)物聯(lián)網(wǎng)的目標(biāo)是連接產(chǎn)品與客戶，這就不可避免對(duì)客戶個(gè)人信息、使用習(xí)慣等隱私數(shù)據(jù)進(jìn)行搜集。如果應(yīng)用層處理不當(dāng)，極易造成客戶隱私數(shù)據(jù)泄露。2外部網(wǎng)絡(luò)攻擊隱患工業(yè)物聯(lián)網(wǎng)的核心是節(jié)點(diǎn)互聯(lián)，Internet仍是實(shí)現(xiàn)工業(yè)物聯(lián)網(wǎng)的重要工具，這就導(dǎo)致當(dāng)前互聯(lián)網(wǎng)所面臨的一些安全威脅也都會(huì)在工業(yè)物聯(lián)網(wǎng)中有所體現(xiàn)，這些網(wǎng)絡(luò)威脅甚至?xí)鶕?jù)工業(yè)物聯(lián)網(wǎng)應(yīng)用的特殊性進(jìn)行一些調(diào)整，增強(qiáng)其破壞性。1.系統(tǒng)破壞型網(wǎng)絡(luò)攻擊行為這種網(wǎng)絡(luò)攻擊行為多是通過端口掃描，發(fā)現(xiàn)系統(tǒng)漏洞然后進(jìn)行拒絕服務(wù)攻擊、洪泛攻擊，最終耗盡服務(wù)系統(tǒng)網(wǎng)絡(luò)資源造成系統(tǒng)宕機(jī)?；蚴峭ㄟ^系統(tǒng)漏洞潛入系統(tǒng)，對(duì)系統(tǒng)核心服務(wù)、數(shù)據(jù)進(jìn)行破壞，干擾服務(wù)運(yùn)行。2.數(shù)據(jù)竊取型網(wǎng)絡(luò)攻擊行為這種網(wǎng)絡(luò)攻擊主要利用木馬或系統(tǒng)漏洞潛入服務(wù)系統(tǒng)，以竊取企業(yè)核心機(jī)密或用戶隱私數(shù)據(jù)為目的，而不一定對(duì)系統(tǒng)造成較大破壞，隱蔽性較高。目前這種網(wǎng)絡(luò)攻擊形式呈增長(zhǎng)態(tài)勢(shì)，攻擊多涉及經(jīng)濟(jì)利益。有報(bào)道某廠家推出的智能家居套裝，被黑客利用App漏洞，控制了包括網(wǎng)絡(luò)攝像頭、智能插座、智能冰箱、智能空調(diào)等多種設(shè)備的整套系統(tǒng)，嚴(yán)重侵犯用戶隱私。3.控制僵尸型網(wǎng)絡(luò)攻擊行為控制僵尸型網(wǎng)絡(luò)攻擊行為主要是通過節(jié)點(diǎn)入侵控制工業(yè)物聯(lián)網(wǎng)系統(tǒng)來實(shí)施進(jìn)一步的惡意行為。由于節(jié)點(diǎn)的脆弱性以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的多變性，攻擊者通過分析節(jié)點(diǎn)數(shù)據(jù)包獲取身份、密碼信息，然后篡改軟硬件配置，進(jìn)而俘獲更多僵尸節(jié)點(diǎn)，一旦控制整個(gè)僵尸網(wǎng)絡(luò)，黑客就可以進(jìn)行各種攻擊，如：監(jiān)聽用戶信息、發(fā)布虛假信息、發(fā)起DDoS攻擊等。4.釣魚偽裝型網(wǎng)絡(luò)攻擊行為在眾多互聯(lián)網(wǎng)安全威脅中，釣魚網(wǎng)站已經(jīng)成為發(fā)展最為迅猛的一個(gè)。日常生活中的釣魚網(wǎng)站主要是以騙取客戶信用卡卡號(hào)和密碼、手機(jī)驗(yàn)證碼等手段盜取客戶資金。當(dāng)前黑客的釣魚手段已經(jīng)逐漸滲透進(jìn)工業(yè)領(lǐng)域，通過偽裝的釣魚頁面黑客可以輕易獲得系統(tǒng)管理員密碼、下載安裝后門木馬、更改系統(tǒng)運(yùn)行設(shè)置等。員工往往對(duì)工作環(huán)境下的信息安全威脅警惕性不高導(dǎo)致系統(tǒng)中招。3其他非技術(shù)類網(wǎng)絡(luò)攻擊隱患利用社會(huì)工程學(xué)等非技術(shù)手段進(jìn)行的網(wǎng)絡(luò)攻擊與傳統(tǒng)暴力破解型、強(qiáng)制攻擊型攻擊方式不同，其充分利用人性弱點(diǎn)進(jìn)行攻擊，比如免費(fèi)贈(zèng)送捆綁軟件、付費(fèi)網(wǎng)絡(luò)調(diào)查、各種巨額中獎(jiǎng)郵件、來路可疑的填表資料等。社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊是非傳統(tǒng)網(wǎng)絡(luò)攻擊行為，其攻擊目標(biāo)不是機(jī)器而是人，難于防范。工業(yè)領(lǐng)域由于包含了大量有價(jià)值數(shù)據(jù)，已經(jīng)成為社會(huì)工程學(xué)攻擊的主要目標(biāo)。2014年9月，安全公司Trustwave下SpiderLabs安全小組在對(duì)多家鋼鐵、石油公司安全管理系統(tǒng)進(jìn)行測(cè)試時(shí)，通過偽造可信任發(fā)件人名單，向公司普通員工發(fā)送信息調(diào)查表和木馬測(cè)試程序，并聲稱其電腦存在安全風(fēng)險(xiǎn)需要進(jìn)行反病毒升級(jí)，若同時(shí)填寫調(diào)查表則可以獲得現(xiàn)金獎(jiǎng)勵(lì)。很多員工出于小利益誘惑，未經(jīng)仔細(xì)核驗(yàn)便填寫了信息表并執(zhí)行了程序。當(dāng)前社會(huì)工程學(xué)理念已經(jīng)充分融入到多種網(wǎng)絡(luò)攻擊形式中，對(duì)其防范也愈加困難。我國工業(yè)物聯(lián)網(wǎng)信息安全保障體系存在的問題通過上述分析可見，工業(yè)物聯(lián)網(wǎng)目前仍存在較嚴(yán)重的信息安全風(fēng)險(xiǎn)，信息安全問題已經(jīng)成為工業(yè)物聯(lián)網(wǎng)推廣應(yīng)用一大障礙。然而，當(dāng)前我國在發(fā)展工業(yè)物聯(lián)網(wǎng)過程中，尚未建立完善的工業(yè)物聯(lián)網(wǎng)信息安全保障體系，在政策法規(guī)、管理機(jī)制、核心技術(shù)、人才培養(yǎng)、企業(yè)責(zé)任意識(shí)等多方面存在不足。1政策法規(guī)不健全隨著信息安全形勢(shì)的日益嚴(yán)峻，國家有關(guān)部門已經(jīng)開始重視以物聯(lián)網(wǎng)為代表的新興產(chǎn)業(yè)的網(wǎng)絡(luò)安全問題，并出臺(tái)了相應(yīng)政策與規(guī)范。如《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》、《物聯(lián)網(wǎng)發(fā)展專項(xiàng)行動(dòng)計(jì)劃(2013-2015年)》都明確提出了建立信息安全保障體系，做好物聯(lián)網(wǎng)信息安全頂層設(shè)計(jì)，加強(qiáng)物聯(lián)網(wǎng)信息安全技術(shù)的研究開發(fā)，有效保障信息采集、傳輸、處理等各個(gè)環(huán)節(jié)的安全可靠等要求。然而上述文件僅對(duì)物聯(lián)網(wǎng)眾多應(yīng)用領(lǐng)域做出了基本安全要求，而并未對(duì)細(xì)分領(lǐng)域作出明確要求。國家尚未對(duì)工業(yè)物聯(lián)網(wǎng)安全做明確的頂層設(shè)計(jì)，這將為工業(yè)物聯(lián)網(wǎng)后期發(fā)展留下安全隱患。此外，國家沒有出臺(tái)針對(duì)工業(yè)物聯(lián)網(wǎng)信息安全的法律法規(guī)，一旦出現(xiàn)工業(yè)物聯(lián)網(wǎng)信息安全事件，將出現(xiàn)無法可依的局面。2管理機(jī)制不統(tǒng)一由于我國當(dāng)前工業(yè)物聯(lián)網(wǎng)應(yīng)用尚未全面鋪開，針對(duì)工業(yè)物聯(lián)網(wǎng)信息安全的管理體系仍未建立，相關(guān)工作仍未開展。一是缺少統(tǒng)一管理。工業(yè)物聯(lián)網(wǎng)是跨部門的，涉及設(shè)計(jì)、采購、生產(chǎn)、銷售、管理等諸多部門，沒有一個(gè)統(tǒng)一的主管協(xié)調(diào)部門，也沒有確定管理主體，難以實(shí)現(xiàn)統(tǒng)一管理。二是缺少管理標(biāo)準(zhǔn)。工業(yè)物聯(lián)網(wǎng)信息安全檢測(cè)、評(píng)估、準(zhǔn)入等都沒有具體的標(biāo)準(zhǔn)，而且由于缺乏統(tǒng)一管理，相關(guān)標(biāo)準(zhǔn)也不是一個(gè)行業(yè)的主管部門可以制定的，這就導(dǎo)致具體實(shí)施沒有依據(jù)，工業(yè)企業(yè)只能根據(jù)自身業(yè)務(wù)需要自行設(shè)計(jì)、驗(yàn)證相關(guān)安全接口，最終導(dǎo)致產(chǎn)品安全標(biāo)準(zhǔn)不一，漏洞頻發(fā)。三是缺少統(tǒng)一的信息安全預(yù)警與重大事件應(yīng)急響應(yīng)機(jī)制。目前我國工業(yè)物聯(lián)網(wǎng)建設(shè)仍處在摸索階段，缺乏相應(yīng)的安全預(yù)警及應(yīng)急響應(yīng)機(jī)制，導(dǎo)致不能及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)異常節(jié)點(diǎn)并進(jìn)行威脅評(píng)估與預(yù)警、發(fā)生重大網(wǎng)絡(luò)安全事故后不能及時(shí)控制事態(tài)降低損失。3核心技術(shù)及標(biāo)準(zhǔn)受制于人我國在工業(yè)信息化領(lǐng)域追趕西方發(fā)達(dá)國家的過程中，對(duì)其先進(jìn)技術(shù)往往全盤接收，缺乏創(chuàng)新性消化吸收。目前工業(yè)物聯(lián)網(wǎng)建設(shè)所依托的核心傳感器技術(shù)、芯片設(shè)計(jì)制造技術(shù)、操作系統(tǒng)技術(shù)、大數(shù)據(jù)與云計(jì)算技術(shù)的核心專利都由國外掌握，一旦國際局勢(shì)緊張或貿(mào)易摩擦升級(jí)，這些關(guān)鍵領(lǐng)域就會(huì)受到重大影響。在芯片設(shè)計(jì)制造領(lǐng)域，中國社科院2014年發(fā)布的《經(jīng)濟(jì)藍(lán)皮書》披露國內(nèi)應(yīng)用芯片90%以上來自進(jìn)口。另據(jù)國家統(tǒng)計(jì)局發(fā)布數(shù)據(jù)，截至2015年12月，中國集成電路進(jìn)口總數(shù)為3140億片，進(jìn)口總金額達(dá)到2299.28億美元，同比增長(zhǎng)5.7%，超過了石油；在桌面操作系統(tǒng)領(lǐng)域，據(jù)NetApplications統(tǒng)計(jì)，截至2016年2月，微軟Windows操作系統(tǒng)仍占據(jù)桌面操作系統(tǒng)的最大份額，總計(jì)達(dá)到90.45%；在智能設(shè)備操作系統(tǒng)領(lǐng)域，據(jù)Gartner統(tǒng)計(jì)，2016年第一季度谷歌Android系統(tǒng)占據(jù)智能設(shè)備操作系統(tǒng)84.1%份額，蘋果iOS占14.8%，二者幾乎壟斷智能設(shè)備操作系統(tǒng)市場(chǎng)。iOS系統(tǒng)完全封閉，Android系統(tǒng)雖然是開源，但其核心技術(shù)和技術(shù)路線仍受到谷歌公司嚴(yán)格控制，中國手機(jī)操作系統(tǒng)研發(fā)企業(yè)也時(shí)刻面臨谷歌的商業(yè)歧視如延遲代碼共享時(shí)間、通過商業(yè)協(xié)議制約終端企業(yè)等?；谝陨显?，我國對(duì)各種工業(yè)物聯(lián)網(wǎng)產(chǎn)品的開發(fā)設(shè)計(jì)、安全性評(píng)估均受制于人，難以保證其信息安全工作的有效性。此外，工業(yè)物聯(lián)網(wǎng)是一個(gè)層次性架構(gòu)體系，每層均有相對(duì)應(yīng)信息采集傳輸安全標(biāo)準(zhǔn)，目前這些標(biāo)準(zhǔn)的制定幾乎由國外把持。如規(guī)定了傳感器節(jié)點(diǎn)組網(wǎng)方式及數(shù)據(jù)加密轉(zhuǎn)發(fā)的ZigBee協(xié)議棧是基于EEE802.15.4開發(fā)，由美國IEEE掌握其核心專利技術(shù)；傳輸層采用的主流安全傳輸協(xié)議如TCP/IP、HTTP、FTP協(xié)議也均由美國設(shè)計(jì)主導(dǎo)；工業(yè)物聯(lián)網(wǎng)應(yīng)用層網(wǎng)絡(luò)安全采用的openSAFETY協(xié)議棧也由國際電工協(xié)會(huì)IEC制定。這些標(biāo)準(zhǔn)中很多信息安全規(guī)則并不完全適合我國工業(yè)發(fā)展情況，為工業(yè)物聯(lián)網(wǎng)的進(jìn)一步發(fā)展埋下安全隱患。4人才培養(yǎng)體系不完善我國工業(yè)物聯(lián)網(wǎng)信息安全人才培養(yǎng)體系不健全，從高校教育看，信息安全專業(yè)剛剛獲批成為一級(jí)學(xué)科，探索初期存在課程體系設(shè)置不科學(xué)、教師水平參差不齊等突出問題；從高職教育看，工業(yè)信息安全教育的定位不夠清晰，沒有突出信息安全職業(yè)導(dǎo)向所重視的實(shí)操能力培養(yǎng)；從社會(huì)培訓(xùn)看，存在涉及內(nèi)容不深入、體系性差、培訓(xùn)費(fèi)用較高的問題。這些問題綜合導(dǎo)致了工業(yè)物聯(lián)網(wǎng)信息安全領(lǐng)域人才供需失衡，特別是優(yōu)秀人才匱乏。5企業(yè)信息安全意識(shí)淡薄目前工業(yè)物聯(lián)網(wǎng)正處于發(fā)展初期，其短期經(jīng)濟(jì)效益不明顯，同時(shí)其本身架構(gòu)與傳統(tǒng)工業(yè)自動(dòng)化系統(tǒng)結(jié)構(gòu)不同，對(duì)其改造升級(jí)需要投入大量資金，這就造成很多工業(yè)企業(yè)與信息安全廠商都處于觀望狀態(tài)。一些企業(yè)為了盡快搶占市場(chǎng)也只注重核心產(chǎn)品功能開發(fā)而忽略信息安全建設(shè)投入，這就導(dǎo)致一旦工業(yè)物聯(lián)網(wǎng)系統(tǒng)建設(shè)完成，系統(tǒng)漏洞頻發(fā)，后續(xù)信息安全維護(hù)工作將困難重重。提升我國工業(yè)物聯(lián)網(wǎng)信息安全保障能力的對(duì)策為了有效解決工業(yè)物聯(lián)網(wǎng)發(fā)展的瓶頸問題，掃清安全障礙，需要從完善相關(guān)政策法規(guī)、建立統(tǒng)一安全管理機(jī)制、突破核心技術(shù)限制、健全相關(guān)人才培養(yǎng)體系、轉(zhuǎn)變企業(yè)思維模式增加資金投入等方面采取進(jìn)一步的措施。1健全政策法規(guī)體系一是針對(duì)工業(yè)物聯(lián)網(wǎng)的應(yīng)用特點(diǎn)，研究制定、修改、完善相關(guān)法律法規(guī)，改變政策替代法律的局面。深入梳理分析當(dāng)前已有的信息安全法律法規(guī)，并根據(jù)當(dāng)前工業(yè)物聯(lián)網(wǎng)發(fā)展形勢(shì)提出修改建議。二是進(jìn)行工業(yè)物聯(lián)網(wǎng)應(yīng)用下企業(yè)數(shù)據(jù)安全保護(hù)和資源共享立法研究，建立企業(yè)核心數(shù)據(jù)保護(hù)規(guī)則，明確在工業(yè)物聯(lián)網(wǎng)應(yīng)用各個(gè)階段對(duì)基礎(chǔ)數(shù)據(jù)的采集、傳輸、處理、存儲(chǔ)和使用過程中各相關(guān)方的權(quán)利義務(wù)。三是全面加強(qiáng)工業(yè)物聯(lián)網(wǎng)體系下個(gè)人數(shù)據(jù)隱私的防護(hù)，建立隱私保護(hù)機(jī)制，防止企業(yè)在未經(jīng)授權(quán)情況下對(duì)客戶數(shù)據(jù)進(jìn)行采集、傳輸、存儲(chǔ)與使用。2統(tǒng)一安全管理機(jī)制一是建立完善工業(yè)物聯(lián)網(wǎng)信息安全管理體系，以政府為主體，第三方測(cè)試機(jī)構(gòu)為參與單位，制定統(tǒng)一標(biāo)準(zhǔn)，設(shè)立準(zhǔn)入制度，開展工業(yè)物聯(lián)網(wǎng)行業(yè)的安全評(píng)